گروه باج‌افزار Qilin به کمپین‌های حمله جدیدی پیوسته که از دو آسیب‌پذیری Fortinet برای دور زدن احراز هویت و اجرای کد مخرب از راه دور استفاده می‌کنند.

Qilin که با نام Phantom Mantis نیز شناخته می‌شود، در آگوست ۲۰۲۲ به عنوان یک سرویس باج‌افزار (RaaS) با نام “Agenda” ظاهر شد. این گروه تاکنون مسئولیت حمله به بیش از ۳۱۰ قربانی را در وب‌سایت نشت اطلاعات خود در دارک وب پذیرفته است.

در میان قربانیان این گروه، سازمان‌های برجسته‌ای مانند غول خودروسازی Yangfeng، شرکت نشر Lee Enterprises، خدمات دادگاه ویکتوریا در استرالیا و ارائه‌دهنده خدمات آسیب‌شناسی Synnovis قرار دارند. حمله به Synnovis چندین بیمارستان بزرگ NHS در لندن را تحت تأثیر قرار داد و آنها را مجبور به لغو صدها قرار ملاقات و عمل جراحی کرد.

شرکت اطلاعات تهدید PRODAFT که این حملات جدید و نیمه‌خودکار Qilin را کشف کرده، اعلام کرد که مهاجمان در حال حاضر بر سازمان‌های کشورهای اسپانیایی‌زبان تمرکز دارند، اما انتظار می‌رود این کمپین به سطح جهانی گسترش یابد.

PRODAFT در هشداری خصوصی اعلام کرد: “Phantom Mantis اخیراً یک کمپین نفوذ هماهنگ را علیه چندین سازمان بین ماه‌های می و ژوئن ۲۰۲۵ آغاز کرده است. ما با اطمینان متوسط ارزیابی می‌کنیم که دسترسی اولیه از طریق بهره‌برداری از چندین آسیب‌پذیری FortiGate از جمله CVE-2024-21762، CVE-2024-55591 و موارد دیگر به دست آمده است.”

یکی از آسیب‌پذیری‌های مورد سوءاستفاده در این کمپین با شناسه CVE-2024-55591، پیش از این نیز توسط گروه‌های تهدید دیگر به عنوان یک آسیب‌پذیری روز صفر برای نفوذ به فایروال‌های FortiGate از نوامبر ۲۰۲۴ استفاده شده بود. اپراتور باج‌افزار Mora_001 نیز از آن برای استقرار باج‌افزار SuperBlack که توسط محققان Forescout به گروه سایبری بدنام LockBit مرتبط شده، استفاده کرده است.

دومین آسیب‌پذیری Fortinet که در این حملات Qilin مورد بهره‌برداری قرار گرفت (CVE-2024-21762) در فوریه وصله شد. CISA آن را به کاتالوگ نقص‌های امنیتی فعال خود اضافه کرد و به آژانس‌های فدرال دستور داد تا ۱۶ فوریه دستگاه‌های FortiOS و FortiProxy خود را ایمن کنند.

تقریباً یک ماه بعد، بنیاد Shadowserver اعلام کرد که نزدیک به ۱۵۰ هزار دستگاه همچنان در برابر حملات CVE-2024-21762 آسیب‌پذیر هستند.

آسیب‌پذیری‌های امنیتی Fortinet اغلب در کمپین‌های جاسوسی سایبری و برای نفوذ به شبکه‌های شرکتی در حملات باج‌افزار مورد بهره‌برداری قرار می‌گیرند. به عنوان مثال، در فوریه، Fortinet فاش کرد که گروه هکری چینی Volt Typhoon از دو نقص SSL VPN در FortiOS (CVE-2022-42475 و CVE-2023-27997) برای استقرار بدافزار تروجان دسترسی از راه دور سفارشی Coathanger استفاده کرده که قبلاً برای ایجاد درب پشتی در شبکه نظامی وزارت دفاع هلند به کار رفته بود.